Svenska

14 min read

De största GDPR böterna 2022 - Hur du undviker brott mot GDPR

By: Sarah Hofmann Cybersäkerhet | 24 februari

Även om företag har anpassat sig efter GDPR i flera år, är upprätthållandet av GDPR-överträdelser fortfarande relativt nytt för integritetsskyddsmyndigheten. Eftersom GDPR lagen endast har funnits en kortare tid, finns det inte många exempel att utgå från och tillsynsmyndigheterna arbetar fortfarande med att lista ut det bästa sättet att behandla brott mot GDPR. I det här blogginlägget går vi igenom reglerna för hur GDPR-böter utdöms för brott mot dataskyddsförordningen, så att du kan få ett hum om hur mycket GDPR-överträdelser kan kosta din organisation. Vi lyfter också fram några av de största GDPR-böterna under 2022 - 2020 och ger insikter om hur du undviker brott mot GDPR och vilka överträdelser som just nu prioriteras.

Du kan även prova vår kurs om att ta ansvar för personuppgifter kostnadsfritt i 14 dagar.

Innehållsförteckning

Regler för GDPR-böter
- Hur GDPR lagen tolkas varierar mellan olika tillsynsmyndigheter
- Storleken på ditt företag har betydelse
GDPR-böter kommer i två nivåer
Andra påföljder vid brott mot GDPR
- Personuppgiftsombud ansvarar för att databehandlare uppfyller alla krav
- Privatpersoner har rätt att begära ersättning
Hur GDPR-böter tillämpas i praktiken
Största GDPR-böter från 2022
Största GDPR-böter från 2021
Största GDPR-böter från 2020
Trender inom GDPR-straff de senaste åren
- 2022 var ett till rekordår för GDPR-böter
- Färre anmälningar om dataintrång
Vilka GDPR-överträdelser straffas mest?
Förväntningar på GDPR-straff 2023
Hur du undviker brott mot GDPR
- Skydda din organisation mot dataintrång
Spotlight: Dagliga meddelanden om dataintrång
Vad innebär det här för ditt företag?
- Det kan löna sig att överklaga böter
Sveriges första GDPR-böter: Gymnasienämnden i Skellefteå
Slutord

Regler för GDPR-böter

Böter för GDPR-överträdelser överses av varje lands tillsynsmyndighet. I Sverige är det Integritetsskyddsmyndigheten (IMY) som utreder om företag behandlar peronsuppgifter enligt GDPR och utdömer böter. Alla tillsynsmyndigheter arbetar för att GDPR ska upprätthållas, men det finns en viss variation i hur olika tillsynsmyndigheter prioriterar brott mot dataskyddsförordningen.

Hur GDPR lagen tolkas varierar mellan olika tillsynsmyndigheter

Även om alla tillsynsmyndigheter är bundna av samma GDPR-regler, tillämpar de inte alltid reglerna på samma sätt. Därför är det viktigt att du känner till hur din tillsynsmyndighet tenderar utdöma böter. Till exempel, vilken typ av böter tenderar de ge ut och vad för slags företag drabbas oftast. Varje tillsynsmyndighet har begränsade resurser för att utreda brott mot GDPR. En del tillsynsmyndigheter använder sina resurser för att förbereda stora ärenden mot stora företag, vilket innebär färre men större böter. Andra tillsynsmyndigheter prioriterar att utreda mindre överträdelser, vilket innebär fler böter av mindre belopp, som vanligtvis riktas mot mindre företag.

Till exempel hamnar tillsynsmyndigheter i Storbritannien, Irland och Luxemburg ofta i nyheterna för att de utfärdarar stora och högprofilerade böter. Å andra sidan utdömer myndigheterna i Italien och Spanien ett större antal böter men för mindre belopp. En bra utgångspunkt är att ta reda på hur tillsynsmyndigheten i ditt land brukar agera.

Storleken på ditt företag har betydelse

Alla organisationer är skyldiga att efterleva GDPR, men beloppet för GDPR-böter varierar beroende på företagets storlek. Eftersom dataskyddsförordningen endast uttrycker den maximala storleken på böter för allvarliga och mindre allvarliga överträdelser, ger det en stor flexibilitet vid beräkning av böter. Utöver överträdelsens grovhet tas även företagets storlek och intäkter i beaktande vid beslut om påföljden för en överträdelse.

På grund av flexibiliteten i lagen lyckas företag ofta förhandla en sänkning av bötesbeloppet. Flexibiliteten bidrar även till att en mindre överträdelse inte försätter ett företag i konkurs. Men man bör ändå undvika böter eftersom ett företags överträdelsehistorik kan påverka storleken på utgivna böter. Läs mer i denna guide om hur du säkerställer att ditt företag följer GDPR.

GDPR-böter kommer i två nivåer

Här kommer vi att gå igenom de juridiska riktlinjerna som används av tillsynsmyndigheter när de utreder brott mot GDPR och utfärdar böter.

Det vanligaste tillvägagångssättet är att alla GDPR-överträdelser utvärderas och bötfälls i två olika kategorier, beroende på ärendets allvar. De allvarligare överträdelserna ger givetvis högre straff. Det maximala beloppet för mindre allvarliga brott är begränsat till 10 miljoner euro eller 2 % av företagets omsättning, medan böter för allvarligare överträdelser inte får överstiga 20 miljoner euro eller 4 % av omsättningen.

Låt oss gå djupare in i dessa kategorier med lite information om vilka typer av överträdelser som är associerade med varje nivå.

Största GDPR böter 2022

Mindre överträdelser: Upp till 10 miljoner euro eller 2 % av den globala årliga omsättningen

GDPR-överträdelser som anses vara mindre allvarliga faller främst inom dessa kategorier:

Barns samtycke (Paragraf 8)
Behandling som inte kräver identifikation (Paragraf 11)
Databehandlare och ansvarigas förpliktelser (Paragraf 25-39)
Övervakningsorganens (Paragraf 41) och certifieringsorganens (Paragraf 42-43) ansvar för att genomföra transparenta och opartiska utvärderingsprocesser

Till exempel, 2020 bötfällde den ungerska dataskyddsmyndigheten 55 000 euro till en resebyrå (Robinson-Tours) för att ha underlåtit att vidta lämpliga åtgärder för att säkerställa dataskydd. Bristen på lämpliga skyddsåtgärder ledde till att personuppgifterna om deras registrerade försökspersoner var fritt tillgängliga på Internet i flera månader. Robinson-Tours databehandlare var delvis skyldig till exponeringen av personuppgifter och de fick också böter, om än i form av ett mindre belopp. Det här fallet är ett exempel på varför det är viktigt för personuppgiftsansvariga att se till att deras databehandlare har adekvata säkerhetsåtgärder på plats.

Allvarliga överträdelser: Upp till 20 miljoner euro eller 4 % av den globala årliga omsättningen

Allvarliga överträdelser skiljer sig från mindre allvarliga överträdelser eftersom de är resultatet av handlingar som strider mot rätten till integritet, vilket är det centrala fokuset i GDPR. Överträdelser som kan resultera i höga GDPR-böter är relaterade till:

GDPRs grundläggande behandlingsprinciper – behandling av personuppgifter, laglighet och andra speciella kategorier för personuppgifter (Paragraf 5, 6, och 9)
Villkor för samtycke (Paragraf 7)
Dataregistrerade personers rättigheter (Paragraf 12-22), till exempel:
Överföring av data till en internationell organisation eller en mottagare i ett tredje land (Paragraf 44-49)
Brott mot dataskyddslagarna i de enskilda medlemsstaterna
Försummelse att följa ett föreläggande från en tillsynsmyndighet

Till exempel, ett intrång som faller i den allvarligare kategorin är WhatsApps bristande transparens i databehandling. WhatsApp bötfälldes 225 miljoner euro 2021 för att ha gjort deras hantering av användardata otydlig och svår att förstå. Eftersom denna överträdelse strider mot en av de sju principerna för hur GDPR bör följas, kategoriseras den som ett allvarligt brott och resulterade i massiva böter.

Vad avgör storleken på GDPR-böter

Som tidigare nämnts tillåter GDPR viss flexibilitet vid utförande av böter genom att endast fastställa det maximala antalet böter som kan utfärdas. När tillsynsmyndigheterna har fastställt nivån på överträdelsen ska de ta ställning till hur stora böterna ska vara. Böterna för mindre allvarliga brott kan dock ligga någonstans mellan 0-10 miljoner euro och för allvarliga brott mellan 0–20 miljoner euro. Detta är en ganska så bred skala. Så vad avgör egentligen storleken för GDPR-böter?

För att vägleda tillsynsmyndigheter innehåller GDPR lagen följande kriterier som bör beaktas vid avgörandet av storleken på bötesbeloppet för brott mot GDPR.

Allvarlighet och ärendets karaktär: Vad hände och hur? Hur många människor blev påverkade och hur stor var skadan? Hur lång tid tog det att åtgärda?
Avsikt: Var det avsiktligt eller ett resultat av oaktsamhet?
Förmildrande: Företagets försök att mildra den skada som har tillfogats de registrerade uppgifterna
Förebyggande åtgärder: Säkerhetsåtgärder som företaget hade på plats
Historia: Tidigare brott mot GDPR och dataskyddslagen
Samarbete: Graden av samarbete med tillsynsmyndigheten för att identifiera och beriktiga överträdelsen
Datakategori: Typ av personuppgifter som drabbades
Anmälan: Har företaget proaktivt underrättat tillsynsmyndigheterna om GDPR-överträdelsen?
Certifiering: Var företaget certifierat eller följde uppförandekoder?
Försvårande/förmildrande faktorer: Ytterligare omständigheter som uppkommit till följd av intrånget – till exempel om företaget erhållit ekonomiska vinster från intrånget

Om ett företag har flera GDPR-överträdelser relaterade till varandra, kommer företaget att bli straffat för den mest allvarliga av dessa. Men om överträdelserna inte är relaterade till samma aktivitet, kan de bötfällas separat.

Vid bedömning av dessa kriterier tenderar tillsynsmyndigheten att utföra högre böter om företaget visar dåliga resultat i flera av kategorierna. Om företaget däremot har ansträngt sig för att efterleva GDPR är en mindre bot mer sannolikt.

IBM:s rapport över kostnaden för ett dataintrång gör det möjligt att uppskatta den verkliga kostnaden för flera vanliga dataintrång med hänsyn till faktorer som företagsstorlek.

Andra påföljder vid brott mot GDPR

Som du nu har läst finns det många saker som påverkar storleken för GDPR-böter. Här är några andra saker att tänka på.

Personuppgiftsombud ansvarar för att databehandlare uppfyller alla krav

Det är viktigt att bemärka att personuppgiftsombud ansvarar för den databehandling som de använder. Du bör alltid arbeta med databehandlare som har starka säkerhetsåtgärder och efterlever GDPR. Personuppgiftsansvariga kan straffas för överträdelser som är orsakade av deras behandlare. Det är alltså ditt ansvar att kontrollera att dina databehandlare följer reglerna.

Privatpersoner har rätt att begära ersättning

Utöver de administrativa böter som kan komma att tas ut av integritetsskyddsmyndigheten (IMY), har de privatpersoner som upplevt skada till följd av en organisations GDPR-brott rätt att söka ersättning. Enligt paragraf 82 i GDPR lagen. Om personerna begär ersättning innebär det att de ekonomiska konsekvenserna av ett GDPR-brott för ett företag kan bli större än de böter som utdöms av IMY. Skadeståndsanspråk från många privatpersoner kan även öka den ekonomiska bördan av GDPR-överträdelser eftersom det tar tid att granska och eventuellt överklaga skadeståndsanspråken

Hur GDPR-böter tillämpas i praktiken

Nu när vi har sett över hur böter för GDPR-överträdelser utfärdas, kommer vi att gå igenom verkställandet av dessa böter i praktiken. Vi börjar med en översikt över de största GDPR-böterna som har utfärdats under de senaste tre åren och hur de hade kunnat undvikas. Vi går sedan igenom trender för GDPR-böter och vad dessa betyder för företag i praktiken.

Största GDPR-böter från 2022

En granskning av GDPR-böterna från 2022 visar att den irländska dataskyddskommissionen var de som delade ut de största böterna. Alla de tre största GDPR-böterna delades ut av dem, och de riktades alla mot ett företag - Meta. Facebook och Instagram fick böter på över 880 miljoner euro 2022 för brott mot GDPR. Detta kan tolkas som att den irländska dataskyddskomissionen har aänvänt Meta som ett exempel för andra företag som behandlar stora mängder personuppgifter.

	1. plats - Meta
	Tillsynsmyndighet	Irländska dataskyddskommissionen (DPC)
	Böter (straff)	405 milj. euro
	Motivering	Meta bötfälldes för att ha hanterat uppgifter om barnanvändare på Instagram på ett felaktigt sätt.
	Hur överträdelsen och böterna kunde ha undvikits	Håll unga användares konton och uppgifter privata som standard.
	2. plats - Meta
	Tillsynsmyndighet	Irländska dataskyddskommissionen (DPC)
	Böter (straff)	265 milj. dollar
	Motivering	Ett dataintrång resulterade i att personuppgifter för över 500 miljoner Facebook-användare publicerades på nätet.
	Hur boten och överträdelsen kunde ha undvikits	Skydda systemen från unauthorized data scraping.
	3. plats - Meta
	Tillsynsmyndighet	Irländska dataskyddskommissionen (DPC)
	Böter (straff)	210 milj. euro
	Motivering	Meta använde sig av “forced consent” för att få Facebook-användarnas godkännande för att använda deras uppgifter för riktade annonser. Det fjärde högsta bötesbeloppet (180 miljoner euro) gavs också till Meta för samma GDPR-överträdelse på Instagram.
	Hur boten och överträdelsen kunde ha undvikits	Ge tillräcklig klarhet om databehandling vid annonsering och ha en rättslig grund.

Största GDPR-böter från 2021

Den största GDPR-boten hittills utfärdades 2021 av Luxemburgs nationella dataskyddskommission, som bötfällde den amerikanska online återförsäljaren Amazon med 746 miljoner euro.

	1. plats - Amazon
	Tillsynsmyndighet	Luxemburgs dataskyddsmyndighet (CNPD)
	Böter (straff)	225 milj. euro
	Motivering	Amazon fick böter för bristande efterlevnad av samtycke till cookies. De överklagade böterna och är nu i överklagandeprocess, vilket inte tillgängligt för allmänheten
	Hur boten och överträdelsen kunde ha undvikits	Tvinga inte användare att acceptera cookies eller gör det svårt att avmarkera dem.
	2. plats - Whatsapp Irland
	Tillsynsmyndighet	Irländska dataskyddskommissionen (DPC)
	Böter (straff)	225 milj. euro
	Motivering	WhatsApp Ireland Limited fick böter för att inte följa kraven på insyn. WhatsApp har överklagat
	Hur boten och överträdelsen kunde ha undvikits	Tillhandahåll integritetsinformation i ett format som är lätt att komma åt och på rätt språk. Förklara vilka dina legitima intressen är för varje databehandling.
	3. plats - Notebooksbilliger.de (NBB)
	Tillsynsmyndighet	Statskommissionen för dataskydd i Niedersachsen
	Böter (straff)	10.4 milj. euro
	Motivering	En tysk elektronikåterförsäljare, notebooksbilliger.de (NBB), fick böter för sin användning av videoövervakning för att hålla ögonen på med medarbetare och kunder.
	Hur boten och överträdelsen kunde ha undvikits	Om du använder videoövervakning, ska du se till att använda det av en legitim grund och i ett proportionellt utrymme för ett visst problem.

Största GDPR-böter från 2020

Före 2021 var den största GDPR-boten hittills Frankrikes böter på 50 miljoner euro som utfärdades till Google.

1. plats - Google Inc
Tillsynsmyndighet	Frankrikes dataskyddsmyndighet (CNIL)
Böter (straff)	50 milj. euro
Orsak	Google LLC fick böter för att ha underlåtit att på ett tillfredsställande sätt förklara hur de behandlar data och för att inte ha rättslig grund att behandla data om personlig reklam
Hur boten och överträdelsen kunde ha undvikits	Ge adekvat information i din samtyckespolicy och ge användarna tillräcklig kontroll över hur deras data behandlas.
2. plats - H&M
Tillsynsmyndighet	Hamburgs dataskyddsmyndighet
Böter (straff)	35,26 milj. euro
Orsak	Den svenska klädesjätten, H&M, bötfälldes för att inte ha tillräckligt juridiskt stöd för att behandla personuppgifter.
Hur boten och överträdelsen kunde ha undvikits	Utför dataminimering. Behandla inte personuppgifter om du inte behöver det, särskilt känsliga hälsouppgifter eller religiösa övertygelser. Om du samlar in denna information måste du ha strikt åtkomstkontroll och användningsregler.
3. plats - Telecom
Tillsynsmyndighet	Italiens dataskyddsmyndighet (Garante)
Böter (straff)	27,8 milj. euro
Orsak	Den italienska teleoperatören Telecom Italia, fick böter för att inte ha förklarat tillräckligt hur de behandlar uppgifter, och för att inte ha en rättslig grund för att behandla uppgifter osv.
Hur boten och överträdelsen kunde ha undvikits	Hantera noggrant listor över dataregistranter. Skapa och följ opt-in och opt-out marknadsföring.

Trender inom GDPR-straff de senaste åren

Låt oss titta på vad vi har lärt oss från de senaste årens GDPR-straff.

2022 var ett till rekordår för GDPR-böter

Under 2022 fortsatte trenden med ökande antal utdelade GDPR-böter. Enligt DLA Pipers undersökning uppgick GDPR-böter till 1,64 milj. euro 2022 - vilket är 50 % mer än 2021. Den irländska dataskyddsmyndigheten (DPC) delade totalt ut fem stora GDPR-böter till Meta i år, vilket innebär att (DPC) delat ut det högsta beloppet i böter sedan GDPR lagen trädde i kraft 2018.

Färre anmälningar om dataintrång

Det genomsnittliga antalet dagliga anmälningar om dataintrång som tillsynsmyndigheterna tar emot minskade från 328 år 2021 till 300 år 2022. Det är en nära jämförelse, så det är svårt att dra några egentliga slutsatser.

Minskningen kan vara ett tecken på att organisationer vid det här laget har arbetat med dataskyddslagen i flera år och därför har bättre säkerhets- och dataskyddsåtgärder på plats. Antalet dataintrång per år har dock ökat, enligt IBM. Så minskningen av anmälningar om överträdelser kan faktiskt signalera att företagen inte rapporterar överträdelser som de borde för att undvika straff. Under tidigare år har kravet på att meddela tillsynsmyndigheter om dataintrång prioriterats, så att underlåta att rapportera ett intrång kan bli dyrt för företag.

Men skillnaden i anmälningar är fortfarande ganska liten, så vi måste fortsätta att övervaka antalet innan vi drar några slutsatser.

Vilka GDPR-överträdelser straffas mest?

En bra utgångspunkt när du försöker undvika GDPR-böter är att titta på vilka överträdelser som bötfälls oftast.

GDPR-böter med fokus på annonsteknik och riktad reklam

Den irländska dataskyddsmyndighetens böter mot Meta för beteendebaserade annonser på Facebook och Instagram visar på den ökande uppmärksamheten på förhållandet mellan internetanvändare och teknikföretag. De finansiella modellerna för sociala medieföretag som Meta tillåter "gratis" användning av deras plattformar i utbyte mot användarnas uppgifter, vilket möjliggör riktad reklam. Detta utbyte av personuppgifter för användning av en onlinetjänst har funnits i flera år och står nu i centrum för GDPR-debatterna. Den irländska dataskyddsmyndigheten var splittrad i vissa delar av beslutet, så tillämpningen av GDPR kring riktad reklam kommer att vara något att följa under de kommande åren.

Fortsatt fokus på överträdelser av artikel 5 i GDPR - grundläggande principer för dataskydd

Liksom år 2021 var det ett stort fokus på överträdelser av artikel 5 i dataskyddsförordningen under 2022. Principen om laglighet, rättvisa och öppenhet samt principen om integritet och konfidentialitet verkställdes ofta. Dessutom prioriterade tillsynsmyndigheterna överträdelser av privacy by design och underlåtenhet att visa en laglig grund för behandling av uppgifter.

Övriga vanliga orsaker till GDPR-böter sedan 2020

Underlåtenhet att kommunicera tydligt och öppet om behandlingen av uppgifter.
Underlåtenhet att genomföra lämpliga säkerhetsåtgärder.
Underlåtenhet att meddela myndigheterna vid dataintrång
Underlåtenhet att uppfylla kraven för dataminimering och uppgiftslagring

All denna information om straff och tillämpning kan vara överväldigande. Men den goda nyheten är att de vanligaste orsakerna till GDPR-böter är rätt enkla att hantera för ett vanligt företag. Med god planering och genomgång av GDPR-krav bör det inte vara för svårt att undvika de mest vanliga misstagen

Förväntningar på GDPR-straff 2023

I sin rapport 2023 GDPR Fines and Data Breach report förutser DLA Piper vilka GDPR-överträdelser som kommer att prioriteras 2023.

Böter (och överklaganden) i samband med beteendebaserad reklam på nätet.
Böter i samband med dataöverföringar till tredjeländer och internationella organisationer - eventuellt mer klarhet kring beslutet om tillräcklig skyddsnivå mellan EU och USA inom ramverket för skydd av personuppgifter
Vägledning om artificiell intelligens, dataskydd och dataetik - efter det förväntade slutförandet av EU:s AI-lag.

Här näst kommer vi att gå igenom några andra förutsägelser om GDPR-sanktioner för 2023.

Kraftiga böter från Luxemburg och Irland

Historiskt sett är Irland och Luxemburg de datatillsynsmyndigheter som har delat ut de högsta GDPR-böterna (minns du Luxemburgs böter på 746 miljoner euro för Amazon 2021?).

Om vi ser framåt kan vi förvänta oss att Irland och Luxemburg där många teknikföretag etablerar sin europeiska verksamhet kommer vara hot spots för upprätthållanden av GDPR och för utdelandet av GDPR-böter.

Att etablera sig i GDPR-toleranta länder förlorar sin skyddseffekt

2022 såg vi hur Eurpoean Data Protection Board (EDPB) slog till mot böter från tillsynsmyndigheter som de ansåg vara för milda. Som en påminnelse kan det nämnas att GDPR-artiklarna 60 och 63 ger lokala myndigheter befogenhet att skicka ärenden till EDPB när en överträdelse berör flera medlemsstater. De böter som EDPB ger ut är bindande, och 2022 var de mycket högre än de ursprungliga böterna som föreslagits av de lokala myndigheterna. EDPB:s böter var faktiskt 630 procent högre än de ursprungliga böterna 2022. Framöver innebär detta att företag kommer att ha svårare att undvika GDPR-böter genom att lokalisera sig i länder som inte är lika hårda när det gäller tillämpningen av GDPR.

Ökat fokus på artificiell intelligens

Många AI-system använder personuppgifter, vilket innebär att tekniken kan regleras av GDPR. År 2022 publicerade flera tillsynsmyndigheter och EDPB vägledning kring AI:s användning av personuppgifter. EDPB utfärdade till exempel riktlinjer för teknik för ansiktsigenkänning.

Clearview AI fick flera höga böter 2022 för GDPR-överträdelser gällande laglighet och transparens. Företaget samlade in offentligt tillgängliga bilder av människors ansikten från internet och sociala medier i en databas som kunde användas för ansiktsigenkänning. Clearview AI:s kunder hade tillgång till denna databas utan att enskilda personer någonsin visste att deras personuppgifter användes för detta ändamål.

I och med Europeiska kommissionens nya digitaliseringslagstiftning kan organisationer riskera att drabbas av dubbla böter för användning av AI vid behandling av personuppgifter. Det innebär att företag som använder AI för att behandla uppgifter kan straffas för brott mot både GDPR och andra europeiska lagar.

Internationell dataöverföring och Schrems II

Schrems II-domen innehåller standarder för internationella överföringar av personuppgifter och har skapat stor osäkerhet för organisationer. År 2022 utfärdade tillsynsmyndigheterna i Österrike, Frankrike, Italien och Danmark domar mot Google Analytics på grund av internationella överföringar av personuppgifter.

Det förväntas att EU:s beslut om tillräcklig skyddsnivå EU-USA emellan som levereras i juli 2023 kommer att ersätta Privacy Shield från 2016 som den nya lagstiftningen för internationella överföringar. Beslutet kommer att ge mer klarhet kring dataöverföringar mellan USA och EU och underlätta efterlevnaden för amerikanska företag som är certifierade enligt det amerikanska ramverket för dataskydd (Data Privacy Framework, DPF).

För företag som inte är certifierade enligt DPF kommer standardiserade avtalsklausuler och konsekvensbedömningar vid överföringar sannolikt att förbli standard för internationella överföringar av personuppgifter. Med mer nyanserade riktlinjer kring dataöverföringar kan vi förvänta oss fler åtgärder från tillsynsmyndigheterna under det kommande året.

I takt med att tillämpningen av GDPR utvecklas får vi vänta och se hur tillsynsmyndigheterna i varje land prioriterar överträdelser under de kommande åren. Trender i tidigare böter och förväntningar för 2023 kan dock ge en viss inblick i vad vi kan förvänta oss.

Hur du undviker brott mot GDPR

Enkelt sagt är det lättaste sättet att undvika GDPR-böter genom att efterleva lagen. Vi vet att när det kommer till GDPR kan detta vara lättare sagt än gjort. Om din organisation drabbas av ett dataintrång och rapporterar det till IMY utlöser det en utredning om ditt företags datasäkerhet och efterlevnad, vilket kan resultera i att ditt företag får böter.

En metod för att undvika att få en GDPR-böter är att skydda din organisation mot dataintrång och den utredning som följer. Med andra ord, undvik att utsätta din organisation för onödiga utredningar.

Ett annat sätt att undvika GDPR-böter är att säkerställa att dina dataöverföringar genomförs på korrekt sätt, eftersom dataöverföringar prioriteras bland tillsynsmyndigheter.

Förutom att praktisera säkra dataöverföringar måste organisationer ha en process för att på ett säkert sätt radera uppgifter som de inte längre behöver eller har rätt att behandla.

Skydda din organisation mot dataintrång

Som tidigare nämnts är förebyggande av dataintrång ett enkelt sätt att undvika GDPR-böter på. Dataintrång beror oftast på mänskliga misstag – till exempel kan en anställd klicka på ett nätfiskemejl.

Att träna dina anställda i medvetenhetsträning är därför en av de bästa strategierna för att förhindra dataintrång i din organisation. Och eftersom utbildning är ett krav för efterlevnad av GDPR är träning en win-win. Du kan stärka dina utbildningsinsatser genom.

Spotlight: Meddelanden om dataintrång

Här kan du se en tabell som visar antalet anmälningar om dataintrång per capita som tas emot av tillsynsmyndigheter i ett fåtal utvalda länder. För enkel jämförelse visas anmälningarna om dataintrång per 100 000 personer.

Land	Per capita meddelande om intrång (mellan 28 januari 2021 och 27 januari 2022)
Nederländerna	150.71
Danmark	130.60
Tyskland*	79.42
Sverige	54.83
Norge	44.12
Storbritannien*	14.14

*Per capita-statistik taget från DLA Piper. Ingen brottsstatistik fanns tillgänglig för Tyskland och Storbritannien, så de extrapolerades i denna rapport.

Det är troligt att de dagliga anmälningarna om dataintrång minskar på grund av att man inte rapporterar, snarare än på grund av att antalet dataintrång faktiskt minskar. Så år 2023 kommer vi att hålla ett öga på hur tillsynsmyndigheter bestraffar GDPR-överträdelser i samband med kravet på att anmäla brott mot personuppgifter till myndigheter.

Vad innebär det här för ditt företag?

Även om de största böterna för GDPR-överträdelser är de som hamnar i nyheterna, hålls även små och medelstora företag ansvariga för GDPR. Trots att det är osannolikt att ett litet företag kommer att få en massiv böter, kommer en böter utan tvekan att påverka ett företags ekonomi och rykte.

Mindre företag bör prioritera efterlevnad inom de områden som var framträdande orsaker till böter under de senaste åren. Ett genomsnittligt företag bör till exempel upprätthålla lämpliga skyddsåtgärder, följa principerna om transparens och rättslig grund, underrätta berörda parter vid dataintrång och öva på dataminimering. Särskild uppmärksamhet bör ägnas åt utbildning av anställda som minskar sannolikheten för intrång, samt internationella dataöverföringar.

Även om böterna för GDPR-överträdelser ökar, finns det ingen anledning till att få panik. Vi lär oss alla fortfarande hur böter prioriteras och tillsynsmyndigheter håller fortfarande på att etablera sina egna processer. Så länge du håller ett öga på de böter som utfärdas i ditt land och undviker samma typ av misstag, bör ditt företag vara säkert.

Det kan löna sig att överklaga GDPR-böter

Många av de största böterna som har utdömts för GDPR-överträdelser är i överklagandeprocessen, och vissa företag har lyckats överklaga eller få bötesbeloppet sänkt. År 2020 lyckades många företag minska böterna de fick – delvis på grund av de ekonomiska problemen som orsakades av covid-19-pandemin. Även 2022 är GDPR-regleringen fortfarande relativt ny, vilket leder till en hel del rättslig osäkerhet. Om du har ett rimligt argument mot giltigheten av en böter du får, kan det vara fördelaktigt för dig att ifrågasätta den. Du bör dock alltid väga kostnaden för ett överklagande mot den potentiella nytta du kan få om böterna sänktes eller helt hävs.

Sveriges första GDPR-böter: Gymnasienämnden i Skellefteå

Nu när vi har granskat den rättsliga grunden för att fastställa GDPR-böter och tillämpningstrender, låt oss lyfta fram ett intressant fall: Sveriges första GDPR-böter som utfärdades till gymnasienämnden i Skellefteå.

I augusti 2019 fick gymnasienämnden i Skellefteå den första domen i Sverige som krävde en organisation att betala en GDPR-böter för att ha brutit mot reglerna i dataskyddsförodningen. Gymnasienämnden i Skellefteå fick en böter på 200 000 kr för att ha hanterat känsliga personuppgifter i strid mot GDPR. Ärendet grundades i att en gymnasieskola i Skellefteå hade under tre veckor på prov använt ansiktsigenkänning via kamera för att registrera elevers närvaro på lektioner.

Fallet med gymnasienämnden i Skellefteå är ett bra exempel på hur olika kriterier döms mot varandra när tillsynsmyndigheter beslutar om den ekonomiska påföljden för brott mot GDPR. Flera faktorer var till gymnasienämndens fördel och påverkade storleken av den utfärdade bötern. En sådan faktor var att ärendet gällde en myndighet och inte ett företag. En ytterligare faktor var att brottet handlade om ett försök under en begränsad period.

Att fallet däremot handlade om ansiktsigenkänning var däremot till gymnasienämndens nackdel. Utvecklingen av ansiktsigenkännings går snabbt och blir allt vanligare, därmed ansåg Integritetskyddsmyndigheten att tydlighet behövde skapas kring tekniken, vilket troligen ledde till att ärendet prioriterades.

Slutord

Vi hoppas att det här inlägget fungerar som en användbar guide till GDPR-regler och böter. När det gäller att undvika böter är en av de viktigaste sakerna du kan göra att titta på hur just din tillsynsmyndighet agerar. Genom att hålla ett öga på vilka överträdelser din tillsynsmyndighet prioriterar att utdöma böter för kan du undvika liknande misstag. Kom ihåg att vi alla fortfarande lär oss om GDPR-tillämpning och att det finns stor flexibilitet i hur beslut om dömande tas.

Tveka inte att kontakta oss om CyberPilots utbildning i medvetenhet och nätfiske kan komplettera ert arbete med att följa GDPR.

Back to blog